Οι χάκερ γίνονται ολοένα και πιο ευρηματικοί και εξελιγμένοι στην προσπάθειά τους να ξεπεράσουν τα μέτρα ασφαλείας που έχει θέσει η Google στα προϊόντα και τις υπηρεσίες της.
Σύμφωνα με τον Davey Winder στο Forbes, ένα πρόσφατο παράδειγμα είναι μια νέα μέθοδος κοινωνικής μηχανικής που ανέφερε η ερευνητική ομάδα Sekoia για την ανίχνευση απειλών. Αυτή η μέθοδος παρακάμπτει τις προστασίες που παρέχονται από προγράμματα περιήγησης, όπως η Ασφαλής περιήγηση της Google, και εξαπατά τα θύματα να ανοίξουν ψεύτικες σελίδες βιντεοδιάσκεψης στο Google Meet, οι οποίες εγκαθιστούν κακόβουλο λογισμικό τύπου infostealer.
Η απάτη, γνωστή ως ClickFix, στοχεύει κυρίως σε περιουσιακά στοιχεία που σχετίζονται με κρυπτονομίσματα, καθώς και σε χρήστες αποκεντρωμένων χρηματοοικονομικών πλατφορμών που διαχειρίζονται τα κεφάλαιά τους.
Ωστόσο, οι αναλυτές πληροφοριών της απειλής Sekoia έχουν προειδοποιήσει ότι «παρόμοιες τεχνικές κοινωνικής μηχανικής θα μπορούσαν να χρησιμοποιηθούν σε άλλες εκστρατείες διανομής κακόβουλου λογισμικού».
Σε μια πρόσφατα δημοσιευμένη έκθεση (The Phantom Meet), η οποία περιγράφει λεπτομερώς την τεχνολογία και τις τακτικές που χρησιμοποιούν οι χάκερ μέσω ψεύτικων σελίδων βιντεοδιάσκεψης Google Meet για τη διανομή κακόβουλου λογισμικού infostealer, μια ομάδα επιθέσεων γνωστή ως ClickFix, οι αναλυτές έκαναν μια χρονολογική επισκόπηση της εκστρατείας για να προειδοποιήσουν τους χρήστες Mac και Windows για την συνεχιζόμενη απειλή.
Αντί να αναπτύξουν την εκτέλεση διανομής κακόβουλου λογισμικού μέσω επίσκεψης σε μια ιστοσελίδα από το πρόγραμμα περιήγησής σας, η εκστρατεία ClickFix, όπως αναφέρουν οι ερευνητές, βασίζεται στο να κάνει το θύμα να κατεβάσει και να εκτελέσει κακόβουλο λογισμικό απευθείας. Δεν χρειάζεται να κατεβάσεις κάτι από το διαδίκτυο ούτε να ανοίξεις κάποιο αρχείο μόνος σου, αρκούν κλασικές τεχνικές εξαπάτησης για να παρακάμψουν τους μηχανισμούς ασφαλείας του προγράμματος περιήγησης.
Η εκστρατεία ClickFix, που δεν πρέπει να συγχέεται με νόμιμες εταιρείες και εφαρμογές με το ίδιο όνομα, κάτι που δυστυχώς προκαλεί σύγχυση, εκτελείται από τον Σεπτέμβριο του 2024.
Έχει ήδη υιοθετηθεί, όπως είπαν οι αναλυτές, για την «ευρεία διανομή κακόβουλου λογισμικού». Λειτουργεί με ένα δόλωμα που, σύμφωνα με την προειδοποίηση, «θα μπορούσε να είναι ιδιαίτερα καταστροφικό σε καμπάνιες που στοχεύουν οργανισμούς που χρησιμοποιούν το Google Workspace, ειδικά το Google Meet».
Ενώ οι προηγούμενες εκστρατείες ClickFox φέτος χρησιμοποιούσαν κυρίως αρχεία HTML μεταμφιεσμένα σε έγγραφα του Microsoft Word σε μηνύματα ηλεκτρονικού ταχυδρομείου, η τελευταία είναι η ανάπτυξη ψεύτικων σελίδων βιντεοδιάσκεψης του Google Meet για τη διανομή infostealers και τη στόχευση συστημάτων Windows και macOS.
Μια επίθεση drive-by download βασίζεται στην ικανότητα να αλλοιωθεί μια εφαρμογή, χωρίς να είναι ορατό αυτό στο χρήστη, έτσι ώστε να κατεβάσει κακόβουλο λογισμικό.
Η χρήση του ClickFix σε πολλές εκστρατείες διανομής κακόβουλου λογισμικού τις τελευταίες εβδομάδες είναι, σύμφωνα με την έκθεση της Sekoia, «σύμφωνη με την αυξανόμενη, συνεχή τάση διανομής κακόβουλου λογισμικού μέσω της τεχνικής drive-by download».
Αυτό, πάνω απ’ όλα, χρησιμοποιείται για να αποφευχθούν οι προστασίες σάρωσης ασφαλείας και τα χαρακτηριστικά ασφαλείας του προγράμματος περιήγησης, ανέφεραν οι ερευνητές.
Οι αναλυτές της Sekoia έχουν συνδέσει αυτό το cluster ClickFix που μιμείται το Google Meet με δύο ομάδες κυβερνοεγκληματιών: το Slavic Nation Empire και το Scamquerteo. Και οι δύο είναι γνωστό ότι είναι υποομάδες κυβερνοεγκληματιών που ειδικεύονται στις απάτες με κρυπτονομίσματα.
Χρησιμοποιώντας φράσεις όπως “πατήστε τον συνδυασμό πλήκτρων” ή “CTRL+V” εμφανίζονται μηνύματα σφάλματος. Κι όμως, τέτοιες τακτικές εξακολουθούν να χρησιμοποιούνται και προφανώς, εξακολουθούν να πετυχαίνουν τον στόχο τους.
Οι χάκερ συχνά προσποιούνταν προβλήματα με το μικρόφωνο. Αυτός ο τύπος απάτης μπορεί να ξεγελάσει τα θύματα επειδή τα σφάλματα που εμφανίζονται σε πλαστές σελίδες Google Meet με αξιόπιστα ονόματα τομέα που μιμούνται τη δομή των διευθύνσεων URL του Google Meet.
Ένα κλικ στο κουμπί «Δοκιμάστε τη διόρθωση» θα έχει ως αποτέλεσμα την έναρξη της λήψης κακόβουλου λογισμικού.
